SparkKitty间谍木马现身App Store与Google Play:新型跨平台恶意软件分析
概述
2025年1月,卡巴斯基发现SparkCat间谍软件活动,该恶意软件旨在获取受害者加密货币钱包的访问权限。现在,研究人员再次发现新型间谍软件成功渗透官方应用商店,疑似与SparkCat相关,同样以受害者的加密货币资产为目标。
关键事实
- 恶意软件同时针对iOS和Android设备,通过野外传播以及App Store和Google Play分发(后者已下架)
- iOS恶意负载通过框架(主要模仿AFNetworking.framework或Alamofire.framework)或混淆库(伪装为libswiftDarwin.dylib)传递,或直接嵌入应用本身
- Android特洛伊木马有Java和Kotlin两种版本;Kotlin版本是恶意的Xposed模块
- 大多数版本的恶意软件会无差别窃取所有图片,但发现相关恶意活动集群使用OCR选择特定图片
- 该活动至少从2024年2月开始活跃
技术分析
iOS恶意框架分析
恶意版本与原始AFNetworking的不同之处在于修改了AFImageDownloader类并添加了AFImageDownloaderTool类。恶意负载通过+[AFImageDownloader load]选择器启动,工作流程如下:
- 配置验证:检查应用Info.plist中ccool键的值是否与字符串"77e1a4d360e17fdbc"匹配
- 配置解密:从框架的Info.plist中获取ccc键的Base64编码值,使用AES-256 ECB模式解密(密钥为"p0^tWut=pswHL-x»:m?^.^)W"或"J9^tMnt=ptfHL-x»:m!^.^)A")
- C2地址获取:解密后的值包含URL列表,用于获取加密的额外负载,其中包含用于外泄被盗照片的C2地址集
- 权限验证:向/api/getImageStatus端点发送GET请求,传输应用详情和用户UUID
- 照片窃取:请求访问用户相册,注册回调函数监控相册变化,外泄所有可访问的未上传照片
Android变种分析
Android恶意代码嵌入应用入口点,工作流程包括:
- 配置获取:请求包含C2地址的配置文件,使用AES-256 ECB模式解密
- 心跳检测:向/api/anheartbeat发送GET请求,包含受感染应用信息
- 照片窃取:检查状态标志,如果允许文件上传,则从外部存储窃取图片并通过PUT请求发送到/api/putDataInfo
分发方法
恶意软件通过多种渠道分发:
- 第三方应用商店和修改版应用(如TikTok mod)
- 官方应用商店(Google Play和App Store)
- 企业证书签名(iOS)和LSPosed框架(Android)
防护建议
- 仅从官方应用商店下载应用
- 谨慎授予应用相册访问权限
- 安装可靠的安全解决方案
- 定期检查应用权限设置
影响范围
主要针对东南亚和中国用户,感染应用包括中国赌博游戏、TikTok和成人游戏。但技术上无地域限制,可能影响全球用户。
卡巴斯基安全产品检测为此活动的恶意软件返回以下判定:
- HEUR:Trojan-Spy.AndroidOS.SparkKitty.*
- HEUR:Trojan-Spy.IphoneOS.SparkKitty.*